對于RFID安全的擔(dān)心并不是新鮮事。然而，當(dāng)美國捷運(yùn)公司和Chase公司去年開始發(fā)放具有RFID功能的信用卡的時(shí)候，這些擔(dān)心就增長了。當(dāng)馬薩諸塞州大學(xué)的研究人員今年10月宣布他們突破了信用卡RFID安全功能的時(shí)候，這種擔(dān)心就進(jìn)一步升級了。

RFID使用

到目前為止，RFID芯片僅用于商品、運(yùn)輸集裝箱和家畜的標(biāo)簽。這些小芯片能夠通過無線電信號向記錄這種數(shù)據(jù)的讀卡器發(fā)射有關(guān)標(biāo)簽的產(chǎn)品的數(shù)據(jù)。RFID的應(yīng)用有自己的好處。一個好處是具有RFID功能的集裝箱能夠自動進(jìn)行存貨跟蹤。由于RFID系統(tǒng)自動把數(shù)據(jù)轉(zhuǎn)給供應(yīng)鏈管理系統(tǒng)，貨物不再需要進(jìn)行人工登記。不過，這個技術(shù)對于竊賊也提供了同樣的方便。竊賊能夠利用RFID的安全漏洞欺騙運(yùn)輸產(chǎn)品或者自己跟蹤運(yùn)輸?shù)漠a(chǎn)品以便偷竊有標(biāo)簽的貨物。

RFID安全的擔(dān)心

由于RFID是嵌入在某些信用卡中的，這就為信用卡詐騙敞開了大門。安全和隱私專家稱，他們最擔(dān)心的是RFID卡能夠在空中公開“散發(fā)”個人信息。有些人擔(dān)心，某些惡意用戶可以制作一個讀卡器偷竊信用卡號碼，即使把信用卡安全地放在衣袋里也不能幸免。

馬薩諸塞州大學(xué)的研究結(jié)果是沒有幫助的。在一項(xiàng)實(shí)驗(yàn)中，這個學(xué)校僅用一臺價(jià)值150美元的家庭制造的設(shè)備就“嗅”到了嵌入RFID芯片的信用卡中的用戶名和賬戶號碼。為了消除這種擔(dān)心，信用卡公司做出的回應(yīng)是反駁這些研究結(jié)果。

首先，信用卡公司爭辯稱，他們的客戶信息是受到充分保護(hù)的。他們說，RFID信號是采用128位加密的，實(shí)際的用戶名和卡號并不傳輸出去。相反，他們的設(shè)施在處理信用卡業(yè)務(wù)的過程中使用一種能夠翻譯成用戶賬戶信息偽號碼。然而，研究人員反駁說，他們檢查了Visa公司的信用卡，萬事達(dá)公司的“OneSmart”卡和American Express ExpressPay公司的信用卡，所有這些卡都發(fā)出了沒有加密的用戶名和賬戶號碼。

然后，這些信用卡公司稱，研究人員使用的20個研究樣本(只有20個卡)太少。他們到目前為止還沒有接到任何這種攻擊的報(bào)告，也沒有看到研究人員制作的這種設(shè)備。但是，這種一種含混不清的安全。含糊不清的安全就是不安全的。

RFID安全的挑戰(zhàn)

不過，信用卡中的RFID芯片本身就存在一些需要了解的安全難題。RFID芯片很小，內(nèi)存和存儲容量也同樣小。這就限制了它能夠容納的數(shù)字和加密密鑰的長度，從而使它很難實(shí)施進(jìn)行強(qiáng)大加密所需要的公共密鑰交換等事情。

另一個有幫助的事情是大多數(shù)RFID芯片都是靜態(tài)的。這種芯片的小容量使其很難制作成能夠進(jìn)行細(xì)微調(diào)整的可編程芯片。一旦信息刻錄到芯片中，芯片中的數(shù)據(jù)就不能改變了。有些芯片具有有限的遠(yuǎn)程編程的能力。但是，這種芯片很少。

保證RFID信用卡安全:最佳做法

不要進(jìn)一步研究這個爭論，讓我們研究一些保護(hù)RFID信用卡安全的最佳做法。遺憾的是，對于許多擁有這種信用卡的消費(fèi)者來說，還沒有很多保護(hù)措施，因?yàn)檫@些信用卡的安全措施仍不成熟。使用一種能夠封鎖無線電信號的盒子攜帶信用卡對于大多數(shù)用戶來說是不現(xiàn)實(shí)的，用刀子把RFID芯片從信用卡中摳掉也是不現(xiàn)實(shí)的。

然而，在填寫申請表之前看看這種信用卡是否能夠滿足某些最低的安全要求還是可能的。在簽署協(xié)議之前，RFID信用卡申請者應(yīng)該向發(fā)卡機(jī)構(gòu)詢問四個問題:

1.確實(shí)發(fā)出的數(shù)據(jù)什么?發(fā)出的是信用卡號還是代表信用卡的偽號碼?RFID芯片能夠通過編程發(fā)送與卡處理器后端系統(tǒng)上的賬號相匹配的偽號碼。如果這個偽號碼被人嗅到，這個號碼對于信用卡竊賊是沒有用的。

2.信用卡中發(fā)出的數(shù)據(jù)是不是加密的，如果是加密的，其長度是多少?如果這個信用卡發(fā)送用戶的真實(shí)信息，包括持卡者的名字、賬戶號和過期時(shí)間，那么，所有數(shù)據(jù)都要以加密的方式傳輸。應(yīng)該使用強(qiáng)大的加密措施，至少是128位。

3.這個信用卡的數(shù)據(jù)能夠發(fā)送多遠(yuǎn)?RFID芯片的數(shù)據(jù)傳輸距離只能有幾英尺，不能傳輸?shù)酵＼噲鲆酝?。傳輸距離越短，惡意捕捉這個數(shù)據(jù)的風(fēng)險(xiǎn)就越小。

4.這種信用卡的發(fā)行機(jī)構(gòu)是否擁有后臺反詐騙系統(tǒng)?檢查一下這個發(fā)行機(jī)構(gòu)是否使用類似于Fair Issac公司的“Falcon Fraud Manager”(獵鷹詐騙管理器)那樣的詐騙檢測系統(tǒng)。這種系統(tǒng)不能保護(hù)信用卡本身的數(shù)據(jù)損失，但是，它能夠阻止利用惡意竊取的RFID信用卡中的數(shù)據(jù)進(jìn)行的詐騙交易。

請記住，RFID信用卡安全仍在發(fā)展之中。雖然這些建議不能提供整體的RFID安全，但是，這些建議能為持卡者提供一些緩解威脅的控制方法和保護(hù)措施。